Lädt...

🕵️ Mozilla Firefox bis 50 Skia Pufferüberlauf


Nachrichtenbereich: 🕵️ Sicherheitslücken
🔗 Quelle: vuldb.com

Eine kritische Schwachstelle wurde in Mozilla Firefox bis 50, ein Webbrowser, ausgemacht. Dies betrifft eine unbekannte Funktion der Komponente Skia. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Pufferüberlauf-Schwachstelle ausgenutzt werden. Dies wirkt sich aus auf Vertraulichkeit, Integrität und Verfügbarkeit.

Die Schwachstelle wurde am 24.01.2017 als MFSA 2017-01 in Form eines bestätigten Security Advisories (Website) veröffentlicht. Auf mozilla.org kann das Advisory eingesehen werden. Die Identifikation der Schwachstelle findet als CVE-2017-5377 statt. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Nicht vorhanden sind sowohl technische Details als auch ein Exploit zur Schwachstelle. Als Preis für einen Exploit ist zur Zeit ungefähr mit USD $5k-$25k zu rechnen (Preisberechnung vom 01/26/2017).

Ein Upgrade auf die Version 51 vermag dieses Problem zu beheben. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Mozilla hat entsprechend sofort reagiert.

Mitunter wird der Fehler auch in der Verwundbarkeitsdatenbank von SecurityTracker (ID 1037693) dokumentiert. Die Einträge 96001, 96003, 96004 und 96005 sind sehr ähnlich.

CVSSv3

Base Score: 6.3
Temp Score: 6.0
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L/E:X/RL:O/RC:C
Zuverlässigkeit: High

CVSSv2

Base Score: 6.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P)
Temp Score: 5.9 (CVSS2#E:ND/RL:OF/RC:C)
Zuverlässigkeit: High

CPE

Exploiting

Klasse: Pufferüberlauf
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Preisentwicklung: gleichbleibend
Aktuelle Preisschätzung: $0-$5k (0-day) / $0-$5k (Heute)

Gegenmassnahmen

Empfehlung: Upgrade
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Upgrade: Firefox 51

Timeline

24.01.2017 Advisory veröffentlicht
24.01.2017 Gegenmassnahme veröffentlicht
25.01.2017 SecurityTracker Eintrag erstellt
26.01.2017 VulDB Eintrag erstellt
26.01.2017 VulDB letzte Aktualisierung

Quellen

Advisory: MFSA 2017-01
Status: Bestätigt

CVE: CVE-2017-5377 (mitre.org) (nvd.nist.org) (cvedetails.com)

SecurityTracker: 1037693 - Mozilla Firefox Multiple Bugs Let Remote Users Bypass Security Restrictions, Spoof URLs, Obtain Potentially Sensitive Information, and Execute Arbitrary Code

Siehe auch: 96001, 96003, 96004, 96005, 96006, 96007, 96008, 96009, 96010, 96011, 96012, 96013, 96014, 96015

Eintrag

Erstellt: 26.01.2017
Eintrag: 75.6% komplett
...

matomo